これからのwebセキュリティ フロントエンド編 #seccamp
TRANSCRIPT
![Page 1: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/1.jpg)
これからのWeb セキュリティ
フロントエンド編
![Page 2: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/2.jpg)
随時ツッコミ歓迎長くなりそうなら夕食時にでも
![Page 3: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/3.jpg)
自己紹介
![Page 4: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/4.jpg)
自己紹介
・ ChatWork で Web フロントエンドを担当
・セキュリティに関わるきっかけは 「趣味と実益のスタック破壊」
・セキュリティ関係での活動は ApplicationCache poisoning が主
![Page 5: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/5.jpg)
なぜここにいるのか
![Page 6: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/6.jpg)
なぜここにいるのか
・開発技術とセキュリティ技術が非常に近いところに来ている
・開発技術抜きにセキュリティが語られなくなって来ている
![Page 7: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/7.jpg)
これからのWeb セキュリティ
![Page 8: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/8.jpg)
Web セキュリティの歴史
JVN(Japan Vulnerability Notes)セキュリティホール memo
等から抜粋
![Page 9: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/9.jpg)
〜 2000
![Page 10: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/10.jpg)
〜 2000
・まだ「 Web フロントエンド」という言葉はなかった
・ブラウザ自体を攻撃しユーザの端末を乗っ取る攻撃が主流
・「怪しいサイトは訪問しないようにしましょう」
・「セキュリティのために JavaScript はオフに」
![Page 11: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/11.jpg)
〜 2000
・現存していない技術を使った攻撃も多い( JavaApplet 、 ActiveX 、 VBS 、 ActiveScript )
・ chm 、 mhtml 等を利用したメーラ経由の攻撃
・バッファオーバーフロー等危険な攻撃も
・ iframe や window 経由の Origin の詐称
![Page 12: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/12.jpg)
2000 〜 2003
![Page 13: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/13.jpg)
2000 〜 2003
・ CSS の発展と攻撃手法の開発
・ Object 要素なども攻撃対象に
・ブラウザ機能を使っているメーラを経由したウィルスの流行( Nimda 、 Klez )
・各サイトが「スクリプトによる貼り付け処理」を要求する問題
![Page 14: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/14.jpg)
2000 〜 2003
・ブラウザがネット上のバイナリを自動実行する問題
・ローカルファイルの読み取り問題
・ Web サイトのディレクトリ index が公開される事例が多数( office 氏事件)
・クロスサイトスクリプティング黎明期( Namazu 等、著名なものが修正される)
![Page 15: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/15.jpg)
2003 〜 2005
![Page 16: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/16.jpg)
2003 〜 2005
・このへんから各サイトが攻撃されるようになる
・ SQL 、コマンドインジェクション黎明期
・クロスサイトスクリプティングの発展
・画像処理系にいろいろ問題が見つかる( GDI+ のバッファオーバーフローとか)
![Page 17: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/17.jpg)
2005 〜 2008
![Page 18: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/18.jpg)
2005 〜 2008
・ IPA 、「安全なウェブサイトの作り方」公開
・ SQL インジェクション勃興期(多数のサイトが被害を受ける)
・ Wiki 関係の脆弱性多数
・ Flash Player 関係の問題が報告され始める
・ JSON の解析に eval を使う危険性が語られるようになる
![Page 19: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/19.jpg)
2005 〜 2008
・ E4X に仕様上のセキュリティホールが指摘される
・クロスサイトリクエストフォージェリ黎明期(ぼくはまちちゃん)
・マルチバイトドメイン( Punycode )問題
・オレオレ認証局問題
・ DOM based XSS が語られるようになる
![Page 20: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/20.jpg)
2008 〜 2011
![Page 21: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/21.jpg)
2008 〜 2011
・ Adobe Reader の問題が増える
・ E4X のセキュリティホールが(かなり無理やり)修正される
・クロスサイトリクエストフォージェリ勃興期
・ UTF-7 を使った XSS 、 JSON Hijacking が報告され始める
・クリックジャッキングの登場とブラウザ側の対応
・バグ報奨金制度登場
![Page 22: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/22.jpg)
2011 〜 2013
![Page 23: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/23.jpg)
2011 〜 2013
・ E4X のサポートが切られる
・ UTF-7 のサポートが切られる
・ XHR2 が一般化。 jQuery 関係でセキュリティホールの報告が増える( jQuery Mobile 等)
・ WebView の発展とネイティブアプリ XSS( WebView クラスに関する脆弱性、アドレスバー偽装の脆弱性)
![Page 24: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/24.jpg)
2014
![Page 25: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/25.jpg)
2014
・ Flash player 経由の XSS
・文字コード
・ Android WebView
・パスワードリストアタック
![Page 26: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/26.jpg)
2015
![Page 27: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/27.jpg)
2015
・ mXSS
・ VirtualDOM
・ Fingerprint
![Page 28: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/28.jpg)
〜 2015
![Page 29: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/29.jpg)
〜 2015
・ Java
![Page 30: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/30.jpg)
現在
![Page 31: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/31.jpg)
現在
・安全性は上がっている
・ターゲットを絞った攻撃が増えてきた
・仕様レベルで安全性を確保する方向に
・常時暗号化前提の機能拡張
![Page 32: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/32.jpg)
現在
・ ClosureTools が流れを牽引している
・ Contextual Auto Escaping(最近では yahoo/secure-handlebars という選択肢も)
・ Strict Auto Escaping(サーバサイドでいう ScalikeJDBC の SQL Interpolation的なもの)
![Page 33: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/33.jpg)
現在
・脆弱性報奨金制度の発展
・サイボウズ脆弱性報奨金制度
・ミクシィ脆弱性報告制度
・ LINE Bug Bounty
![Page 34: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/34.jpg)
未来
![Page 35: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/35.jpg)
未来
・ Web のアプリ化とアプリの Web 化
・ CSP の普及と進化
・機能追加とパーミッションモデル
![Page 36: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/36.jpg)
新しいセキュリティモデル
![Page 37: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/37.jpg)
新しいセキュリティモデル
・セキュリティモデルの遷移
・新しいセキュリティモデルの構築
・なぜ新しいセキュリティモデルが必要なのか?
![Page 38: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/38.jpg)
セキュリティエンジニアの今後
![Page 39: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/39.jpg)
セキュリティエンジニアの今後
・バグハンター
・セキュリティアーキテクト
・セキュリティマネージャー
![Page 40: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/40.jpg)
Web セキュリティの「フロントエンド」
![Page 41: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/41.jpg)
フロントエンド
・攻撃者視点
・実装者視点
・解析者視点
![Page 42: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/42.jpg)
報奨金制度
![Page 43: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/43.jpg)
Web フロントエンドセキュリティの今後
![Page 44: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/44.jpg)
何を理解してほしいか
![Page 45: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/45.jpg)
何を理解してほしいか
・ 2000年くらいからのセキュリティ史
・セキュリティの流れ
・歴史を学ぶ意味
![Page 46: これからのWebセキュリティ フロントエンド編 #seccamp](https://reader033.vdocuments.site/reader033/viewer/2022050908/55d3723bbb61ebbf588b45df/html5/thumbnails/46.jpg)
ご静聴ありがとうございました